Des serveurs VMware ESXi non corrigés et non protégés dans le monde entier ont été visés par une attaque de ransomware exploitant une vulnérabilité corrigée en 2021.

Les attaques, baptisées ESXiArgs, sont toujours en cours d'analyse par la communauté de la cybersécurité, mais sur la base des informations disponibles à ce jour, il semble que les acteurs de la menace exploitent CVE-2021-21974, une vulnérabilité de haute gravité de dépassement de tas ESXi OpenSLP que VMware a corrigée en février 2021.

Un acteur malveillant résidant dans le même segment de réseau qu'ESXi et ayant accès au port 427 peut être en mesure de déclencher le problème de dépassement de tas dans le service OpenSLP, ce qui entraîne l'exécution de code à distance.

Dans les attaques par ransomware, les acteurs de la menace ont exploité la faille pour pirater les serveurs ESXi et déployer un logiciel malveillant qui chiffre les fichiers associés aux machines virtuelles, notamment les fichiers portant les extensions .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem, selon une analyse de la société française de cloud computing OVH.

Le logiciel malveillant arrête les processus VM avant d'initier sa routine de chiffrement, mais la fonction ne semble pas fonctionner correctement. Dans certains cas, les fichiers ne sont que partiellement chiffrés, ce qui permet aux victimes de les récupérer sans payer de rançon. Rien ne prouve que des données aient été volées lors de ces attaques.

Le chercheur Enes Sonmez a trouvé un moyen de récupérer certains des fichiers chiffrés par le ransomware.

Les attaques ont d'abord été attribuées à tort à un ransomware nommé Nevada et Cheerscrypt (Emperor Dragonfly), mais elles ont ensuite été liées à une nouvelle opération de ransomware nommée ESXiArgs que de nombreux moteurs antivirus ne peuvent pas le détecter.

Plus de deux mille instances ESXi semblent avoir été touchées, environ 800 serveurs ont été compromis, et

Bien que le malware ne semble pas avoir de capacités d'exfiltration de fichiers, la note de rançon déposée dans l'attaque ESXiArgs informe les victimes que leurs données seront vendues à moins qu'un paiement ne soit effectué. Les victimes sont invitées à payer 2 bitcoins (48 000 dollars) pour recevoir la clé de chiffrement nécessaire à la récupération des fichiers.

Soufiane Tahiri, expert en ransomware, a suivi les adresses des portefeuilles Bitcoin utilisés par les cybercriminels. 

S'il est devenu de plus en plus courant pour les acteurs de la menace de cibler les serveurs ESXi, l'exploitation des vulnérabilités ESXi est rare.